審計規範的完善程度可以反映一個國家審計理論研究的先程序度,這對資訊系統審計準則也同樣適用。自2008年中國內部審計協會頒佈《內部審計具體準則第28號---資訊系統審計》以來,我國資訊系統審計準則的制定基本上處於停滯階段。在資訊系統審計準則的制定方面,僅僅是在2013將內審28號準則修改為《第2203號內部審計具體準則---資訊系統審計》,內容沒有進行大的修改。上述現象的出現,筆者認為同資訊系統審計基本準則的缺失息息相關。基本準則是審計指南和審計程式制定的基礎,是準則的準則,基本準則的優劣直接關係著審計準則體系的完善。到目前為止,我國資訊系統審計準則體系依賴的基本準則主要是財務審計的基本準則,屬於財務審計準則制定的附屬品,與資訊系統審計相關的準則都零星地散落於註冊會計師審計準則、政府審計準則和內部審計準則中,沒有形成一套邏輯嚴密的資訊系統審計準則體系。因此,本文擬對國際資訊系統審計與控制協會(InformationSystems Audit and Control Association,以下簡稱ISACA)的基本準則進行分析和解讀,提出我國資訊系統審計基本準則制定與完善的思路與政策建議。
一、ISACA資訊系統審計基本準則現狀
ISACA主要致立於資訊系統審計準則的制定與釋出工作,截止2013年12月,ISACA 共釋出了16項基本準則、41項審計指南和11項作業程式,這些規範層次清晰,可操作性強。ISACA的資訊系統審計準則體系類似於註冊會計師審計準則體系,ISACA的資訊系統審計準則體系由基本準則、審計指南和作業程式構成,此框架為資訊系統審計人員執業提供了多層次的指引。雖然ISACA成立於1969年,但其基本準則的制定經歷了一段很長的時間,至1997年才釋出資訊系統審計基本準則,包括審計章程、獨立性、職業道德和準則、職業技術、審計計劃、實施審計工作、報告和後續工作八個部分,該準則於1997年7月25日開始生效。隨著審計指南與作業程式的制定與釋出以及對資訊系統審計基本準則可擴充套件性的考慮,ISACA於2005年將1997年所釋出的資訊系統審計準則拆分為八個基本準則,並對原有內容根據資訊科技發展狀況進行了修訂。同時,於2005年9月之後陸續釋出了S9到S16等其它八個基本準則。
二、ISACA資訊系統審計基本準則解讀
資訊系統審計基本準則是資訊系統審計準則體系的基礎,其完善與否直接關係著整個審計準則體系的完善。ISACA是全球資訊系統審計準則制定的領跑者,其在基本準則制定方面存在的諸多優勢可供我國制定資訊系統審計基本準則借鑑。
(一 )基 本準則與審計指南 、 審計程式的關係審計基本準則是ISACA審計準則體系的總綱和基礎,對資訊系統審計指南和審計程式的制定起著指導作用。ISACA的審計指南與審計程式都是在基本準則的指導下制定或推匯出來的,基本準則是審計指南與審計程式制定的基礎依據(如圖1所示)。同時,根據ISACA審計指南和審計程式的制定情況,將實際制定過程的情況反饋給基本準則的制定過程,對基本準則中的不足之處進行改善,從而實現ISACA資訊系統審計基本準則對資訊系統審計指南和審計程式的指導作用。資訊系統審計人員根據ISACA釋出的資訊系統審計指南和審計程式開展審計工作,若審計指南和審計程式中沒有明確規定的,審計人員可以根據ISACA相關內容的規定開展資訊和資訊系統審計活動。
(二 )資訊系統審計基本準則的主要內容ISACA將16項資訊系統審計基本準則分為四個部分,包括:(1)審計章程;(2)對註冊資訊系統審計師職業資格的要求,包括審計人員的獨立性要求、職業道德要求和職業能力要求;(3)資訊系統審計計劃、審計實施、審計報告與後續審計等審計過程;(4)其它資訊系統審計規定,包括不正當及非法行為、IT治理、審計計劃中風險評估的利用等。在ISACA基本準則中,審計章程是對資訊系統審計人員的職能、責任、權力以及義務進行規範,獨立性、職業道德和標準和專業勝任能力則是對資訊系統審計人員的要求,資訊系統審計計劃、審計實施、審計報告和後續審計對資訊系統審計過程進行規範,而其它資訊系統審計規定主要是對前三項內容進行後續補充,即ISACA根據審計物件的特殊性,將IT治理、IT控制、電子商務等納入到基本準則規定的範疇,並對基本準則的相關概念進行補充界定。總體上講,ISACA在資訊系統審計的基本準則方面是比較全面的,從審計職能的責任、權力、義務到資訊系統審計工作執行,審計報告的出具,ISACA都做了規定,基本準則不僅考慮到了審計的一般性特點,同時也結合了資訊系統審計的獨特性。
(三 )ISACA資訊系統審計基本準則制定模式在基本準則的制定模式方式,ISACA先根據審計工作的一般要求,先頒佈S1到S8的基本準則,對審計人員的職業能力以及資訊系統審計的程式進行規範,再結合資訊系統審計的特點和要求,陸續頒佈S9到S16等其它基本準則,以填補先前所頒佈的準則的不足或缺陷(如表1)。這種基本準則的制定模式,可擴充套件性較強,適應資訊科技飛速發展的要求,ISACA可根據資訊系統審計發展的要求彌補基本準則存在的不足與缺陷。
(四 )ISACA信 息系統審計基本準則存在的問題ISACA儘管在基本準則方面的內容比較全面,形成了較為系統的資訊系統審計準則體系,但通過深入研究可以發現ISACA的基本準則體系仍存在不足之處。這些不足之處也為我國制定專門的資訊系統審計基本準則提供了指導。
(1)資訊系統審計基本準則包含審計職業道德規範的內容,不利於資訊系統審計職業道德規範的發展。在資訊系統審計基本準則的制定過程中,ISACA將審計獨立性、職業道德以及職業能力等審計職業道德規範一併納入基本準則中,這三項審計職業道德規範應從基本準則中獨立出來。若將審計職業道德規範一併納入到基本準則之中,不利於建立專門化的資訊系統審計職業道德規範體系。資訊系統審計職業道德規範同資訊系統審計準則處於同樣重要的地位,將其納入資訊系統審計基本準則的範疇會降低準則制定機構的重視程度,而將其單獨出來有利於建立層次分明,自成體系的審計職業道德規範體系,體現審計職業道德在資訊系統審計中的重要性。
(2)基本準則沒有完整體現資訊系統審計理論結構的內容。資訊系統審計理論結構是資訊系統審計規範制定的理論基礎,ISACA所頒佈的基本準則沒有完整體現資訊系統審計理論結構的內容,即沒有對資訊系統審計進行定義,沒有規定資訊系統審計本質、審計目標、審計假設、審計質量控制等內容。具有摩爾定律發展速度的資訊科技使資訊系統變得越來越複雜,網路安全及資訊系統安全問題也變得越來越重要。資訊系統審計人員在面臨新的審計環境時,需要審計規範加以引導和約束,而在資訊系統審計基本準則中界定審計的本質、目標、假設以及資訊系統審計質量控制等內容有利於正確引導資訊系統審計人員的審計行為,界定資訊系統審計以及審計範圍,可以在飛速發展的資訊社會中出現新資訊科技問題時不至於使審計人員陷入判斷新領域是否屬於資訊系統審計範疇的境地。審計質量控制是資訊系統審計理論的重要組成部分,也是資訊系統審計準則的主要構成內容之一。審計質量就是審計活動對公認審計準則或標準的遵循程度。非法使用者出於娛樂、報復或利益等目的而侵入計算機(Palmer,2001),Garg、Curtis和Hapler(2003)估計安全事件對普通的公開上市公司來說,其市場影響佔到年銷售額的'0.5%到1.0%.除了病毒和蠕蟲之外,組織還可能遭受DOS攻擊,這是21世紀代價第二昂貴的網路犯罪,估計其損失達6500萬美元,而新發展的DDOS的威脅很現實,每週有超過4000次的DDOS攻擊,新型的DOS正在不斷地被製造出來,例如,DROS用偽造的有效資料包沖垮伺服器 (Joyce,2002)。Bell實驗室的網路研究副總裁Krishan Sabnani表示,最新的DOS攻擊將威脅無線網路。審計質量是資訊系統審計的基礎,沒有質量保證的資訊系統審計行為,不僅不能為企業資訊系統的可靠性、安全性等提供保證,反而會給企業帶來更大的損失。在ISACA的基本準則中,尚不存在審計質量控制方面的規定,這有待於ISACA審計準則制定機構完善審計質量控制方面的基本準則,或是單獨建立資訊系統審計質量控制準則體系。
三、對我國資訊系統審計基本準則制定的借鑑與啟示
我國資訊系統審計準則的制定尚處於起步階段,當前頒佈的資訊系統審計準則主要依附於財務審計準則。無論是在資訊系統審計準則的數量上,還是質量上,我國與ISACA釋出的資訊系統審計體系都存在相當大的差距。這與資訊系統審計基本準則的缺失息息相關,資訊系統審計基本準則的缺失使得具體審計準則或審計指南、審計程式的制定只能依附於財務審計準則的制定。為加快資訊系統審計基本準則建設的步伐,筆者認為應當加快資訊系統審計基本準則的制定步伐,借鑑ISACA的資訊系統審計基本準則,制定適合我國國情的資訊系統審計基本準則,為資訊系統審計準則體系的完善奠定基礎。
(一 )借鑑ISACA的準則制定模式 ,樹立以資訊系統審計基本準則為導向的審計準則制定理念在資訊系統審計基本準則缺失的前提條件下,我國當前的資訊系統審計準則只能依附於財務審計準則的制定,不能形成較為完善的資訊系統審計規範體系。資訊系統審計具體準則也只能由財務審計的基本準則推匯出來,資訊系統審計準則或規範的頒佈主要是考慮到資訊科技已經影響到財務報告生產過程,為了更好的進行財務審計,而不是單純的為制定資訊系統審計準則。資訊化的浪潮正在席捲社會的各個角落,資訊系統已經成為政府、企事業單位不可缺少的組成部分。企業資訊化與政務資訊化正在逐步擴大資訊系統審計的範圍,已經超出會計資訊系統的範圍,資訊系統的安全、軟硬體以及開發生命週期等都已成為資訊系統審計的範圍,而且這些審計範圍變得越來越重要。因此,我國資訊系統審計準則的制定,其審計目標不能再僅僅侷限於財務審計的目標,需要一個完善的資訊系統審計準則體系為審計人員審計資訊系統安全、軟硬體以及系統開發生命週期服務。依附於財務審計準則制定模式的轉變需要建立屬於資訊系統審計準則體系構建的基本準則,樹立以“以資訊系統審計基本準則為導向”的理念,由基本準則推導具體準則、審計指南或審計程式的制定,由基本準則指導具體審計準則缺失的“真空地帶”,有效指導資訊系統審計人員的審計行為。
(二 )在審計署的推動下 ,成立類似 ISACA的資訊系統審計準則制定機構到目前為止,我國具有真正意義的資訊系統審計準則是中國內審協會頒佈的第2203號內部審計具體準則,該準則的基本準則為《內部審計基本準則》,而《內部審計基本準則》主要是為了規範內部審計工作,明確內部審計機構和審計人員職責,不是專門針對資訊系統審計工作的。因此,中國內部審計協會制定資訊系統審計準則,只是為完善內部審計準則體系,而不對資訊系統審計準則體系進行系統型的研究。出現這些情況雖然同資訊系統審計基本準則的缺失息息相關,但更深層次的原因在於我國沒有類似ISACA的資訊系統審計準則制定專門機構。我國要建立完善的資訊系統審計準則體系,其首要任務在於成立類似ISACA的資訊系統審計準則制定組織,由其統一制定與釋出資訊系統審計的基本準則、具體準則或審計指南、審計程式。ISACA的成立是由同類職業團體組建而成的,在我國類似的職業團體幾乎不存在。因此,資訊系統審計準則制定機構的成立不能採用ISACA的成立模式,應採取行政的力量或手段推動其成立,由中華人民共和國審計署整合中注協、內審計協會和審計署內部的資訊系統審計準則制定資源,成立類似ISACA的資訊系統審計組織。這種依靠行政力量的模式,可以在短時期內完成組織的成立過程,從而避免資訊系統審計組織長期缺失對我國資訊系統審計準則體系完善的影響。
(三 )借鑑ISACA基本準則 ,構建適合我國國情 的資訊系統審計基本準則筆者認為資訊系統審計規範包括正式制度安排和非正式制度安排。資訊系統審計基本屬於正式制度安排的範疇。雖然ISACA基本準則存在著一些不足之處,但ISACA在基本準則制定方面仍存在許多可供借鑑的地方。我國資訊系統審計基本準則的制定應在借鑑ISACA基本準則的基礎上,根據我國的實際情況制定。筆者認為,資訊系統審計基本準則的內容應包括:
(1) 審計章程;
(2)資訊系統審計業務承接以及審計業務三方關係;
(3)審計評價標準;
(4)審計本質;
(5)審計目標;
(6)審計假設;
(7)審計計劃;
(8)審計工作的實施;
(9)審計報告;
(10)後續工作;
(11)審計質量控制準則;
(12)其他。
需要特別指出的是,資訊系統審計評價標準在資訊系統審計過程中扮演著十分重要的角色。標準是指用於評價或計量鑑證物件的基準。標準可以是正式的規定,如國家頒佈的相關法律、法規;也可以是某些非正式的規定,如單位內部制定的內部控制制度。資訊系統審計人員在運用職業判斷對資訊系統做出合理一致的評價或計量時,需要有適當的標準。缺乏資訊系統審計評價標準,將不利於指導資訊系統審計人員選擇判斷標準,進行合理的職業判斷。因此,我國構建資訊系統審計基本準則,應當對資訊系統審計的評價標準進行界定,以指導審計人員的資訊系統審計行為。
( 四 ) 將 審 計職業道德 規範排除 在資訊系統審計基本準則 之外, 構建專門的資訊系統審計職業道德規範資訊系統審計準則或資訊系統審計規範的正式制定安排包括資訊系統審計職業道德規範、資訊系統審計準則和其他資訊系統審計準則。由此可知,應當建立單獨的資訊系統審計職業道德規範,而不是同資訊系統審計準則混合起來。資訊系統審計基本準則是資訊系統審計準則這種制度安排的主要內容之一。為建立合理的資訊系統審計準則或偏私系統審計規範體系,應當剔除職業道德的內容,將職業道德的內容併入資訊系統審計職業道德規範體系中,建立專門的資訊系統審計職業道德規範。
(五 )建立具有可擴充套件性的資訊系統審計基本準則現代資訊科技以“摩爾定律”的速度正在飛速發展,資訊系統審計基本準則的制定應當與之相適應,形成一種開放性的資訊系統審計基本準則制定方式,以滿足現代資訊科技飛速發展的要求。在這個方面,我國可以借鑑ISACA基本準則的制定模式,建立具有可擴充套件性的基本準則制定模式。這主要是考慮到基本準則在實際執行過程中會存在著許多問題和不足之處,若遇到現有資訊系統審計基本準則的不足之處就重新制訂新的基本準則會浪費大量資源。因此,我國應首先發布一批相對成熟的基本準則,後期若遇到問題時,再發布基本準則對前期釋出的準則進行補充。這種開放性的、可擴充套件的審計準則制定模式不僅可以彌補前期基本準則的不足,同時也可以減少重新修訂基本準則對資訊系統審計人員的衝擊和節約準則制定成本。
(六 )加強中注協 、內審 協 會 和國家 審計署的 溝通協調眾所周之,資訊系統審計業務可以單獨開展,也可以和財務審計以及其他業務審計一起執行。但在當前審計實務中,資訊系統審計業務工作的開展通常是和財務審計或其他業務審計一同開展的,這就要求在制定和頒佈資訊系統審計基本準則時,加強與中注協、中國內部審計協會和國家審計署的溝通協調工作,就基本準則的內容以及資訊系統審計準則如何與註冊會計師審計準則、內部審計準則和國家審計準則一致進行探討,以增強資訊系統審計基本準則的實用性。
隨著現代資訊科技的發展與運用,資訊系統審計這一職業已經得到了一定程度的發展,理論界與實務界也越來越重視這一領域。筆者關於資訊系統審計基本準則的許多觀點尚不成熟,還有待進一步改進,希望通過本文的研究能引起理論界和實務界對於資訊系統審計準則研究的關注,讓更多的理論工作者與實務工作者參與到這一過程中,完善我國資訊系統審計規範體系。
參考文獻:
[1]馬良渝、潘婉霞:《ISACA資訊系統審計準則體系淺析》,《中國管理資訊化》2007年第3期。
[2]蔡春:《審計理論結構研究》,東北財經大學出版社2001年版。
[3]ISACA IS Standards, Guidelines and Procedures for Auditingand Control Professionals A, 2009.
[4]G41-Return on Security A, 2010.
[5]G42-Continuous A, 2010.
[6]Joyce, ibuted Denial of Service ntificComputing & Instrumentation, 2002, June:12-47
[7]Palmer, C. cal Hacking System Journal, 2001,(03):769-780.
[8]Garg, A., J. Curtis, and H. Financial Impact ofIT Security Breaches: What Do Investors Think? rmationSystems Security, 2003, March/April:22-32.
